Le cloud et Elasticsearch au service des attaques DDoS 29/07/2014 


SiliconDSI SiliconData SiliconCloud SiliconTV 


4 Silicont. ms: Fasa 


D<] ABONNEZ-VOUS AUX NEWSLETTERS 


DSI CLOUD BIGDATA SECURITE MOBILITE OPEN SOURCE | Livres Blancs | Dossiers Evénements Quiz Emploi Blog 4G Zones Partenaires 


Vous êtes ici : Accueil / Solutions / Des hackers combinent Elasticsearch et Cloud pour lancer des attaques 


: CLOUD : 
Des hackers combinent Elasticsearch et Cloud pour lancer des $ ACCÉLÉRATEUR 
attaqués DDoS DE BUSINESS 


Des pirates ont profité d’une vulnérabilité dans le logiciel Open Source Elasticsearch pour 
mener des attaques en déni de service depuis le cloud d'Amazon. 
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DÉCOUVREZ LA PARTNER ZONE BARRACUDA 
Les chercheurs de Kaspersky ont découvert une faille de sécurité dans le logiciel Open Source 


Elasticsearch, un moteur de recherche qui repose sur Lucene (pour indexer et chercher du texte). 
ll est très utilisé par les entreprises. Cette faille permet l'injection d’un malware capable de générer 
des attaques en déni de service. 


« Backdoor.Linux.Ganiw » a été trouvé en juin dernier par les spécialistes de Kaspersky et 


utilise la technologie d'amplification de DNS qui augmente considérablement le trafic des attaques Da 2 Abon nez-vo US 


DDoS. En envoyant des requêtes qui s’apparentent au domaine de la victime, l’'amplification de 


DNS accroît le volume des attaques par 10 voire plus et elles sont très difficiles à contrer. La faille, aux 
identifiée sous l'appellation CVE-2014-3120, touche les versions 1.1.x d’Elasticsearch, mais les 
scripts dynamiques impactés ont été désactivés dans les dernières versions 1.2 et 1.3 livrées A Silicon 
récemment. 
Un proof of concept sur les Cloud 
public 
Les derniers quiz : 


Pour augmenter encore un peu plus ces attaques, Kurt Baumgartner, expert chez Kasperky Lab e Tout sur le Bluetooth 
a expliqué dans un blog qu'elles sont menées depuis des services Cloud comme EC2 d'Amazon, e Êtes-vous un expert des langages de 
mais également sur des offres concurrentes. Les cybercriminels ont réussi à travailler sur une programmation ? 
variante de la faille dans Elasticsearch qui donne la possibilité d'exécuter des commandes Linux à ° HD ri les noms des systèmes 
distance via une fenêtre bash shell. Le backdoor Gani peut ainsi installer plusieurs autres scripts ren i « 

: $ . e Les applications Android business 
malveillants sur les PC compromis comme Backdoor.Perl.RShell.c et Backdoor.Linux. Mayday.g. 


Tout Ethernet 
C'est ce dernier qui a été repéré sur des instances EC2 par les spécialistes de Kasperky Lab. crie dé 
Voir tous les quiz disponibles 
Kurt Baumgartner indique que « le flux est assez important pour qu'Amazon informe aujourd'hui ses 


clients de ce problème. Car certains utilisateurs impactés vont se retrouver avec une facture 
salée pour usage excessif de ressources ». L'expert constate que les attaques concernent « une 
grande banque régionale américaine, un grand fabricant d'électronique et un fournisseur de service 
au Japon ». Reste qu'il se veut rassurant en expliquant que les attaques depuis des instances EC2 
n'envoient que du trafic UDP et n'utilisent pas la technologie d'amplification de DNS. Cela signifie 
que les pirates sont encore en phase de test pour mener leurs attaques et qu'ils peaufinent leur 
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